WooCommerce 钱包 <= 1.5.6 - 已验证(订阅者+)数字类型之间的转换不正确(CVE-2024-7747)
CVE编号
CVE-2024-7747
利用情况
暂无
补丁情况
N/A
披露时间
2024-11-28
漏洞描述
WordPress中的WooCommerce插件钱包存在类型转换错误漏洞,所有版本直至并包括1.5.6版本都受此影响。这是由于转账资金时的数值逻辑缺陷导致的。这使得拥有订阅者级别及以上访问权限的认证攻击者能够在转账时创建资金,并将这些资金分配给任何其他用户或自己的账户,从而使产品免费。如果使用了钱包提款扩展并且管理员批准了提款请求,攻击者还可以请求提款资金。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
文章评论